Ao contrário do WhatsApp, ninguém pode invadir sua conta Telegram simplesmente enviando uma foto

Uma empresa chamada Check Point descobriu uma forma de invadir uma conta WhatsApp apenas por você abrir uma foto que eles enviam. Não há necessidade de ações adicionais por parte da vítima. Algumas notícias reportaram que “a mesma coisa” aconteceu com o Telegram.

Isso não é verdade, o Telegram nunca teve esse problema.

O que aconteceu?

Essa semana, a Check Point apontou um problema no Telegram Web (via navegador) baseado nessa mesma ideia, mas com diferentes implicações para o usuário final. Para esse ataque funcionar, você tem que convencer seu alvo a fazer exatamente estes passos:

1. Apertar ´Play´ para começar a assistir um vídeo malicioso pelo Telegram Web usando o Chrome. (Nesse ponto a conta do WhatsApp já está comprometida, mas nada acontece com o Telegram)
2. E ainda, com o vídeo rodando, clicar com o botão direito no vídeo e selecionar "abrir em uma nova guia" pelo menu.

Seu alvo tem que fazer exatamente isso, nessa mesma ordem. Note também:

• Isso não vai funcionar se você simplesmente abrir o link do vídeo em uma nova aba. Sem efeito.
• Isso não vai acontecer em nenhum navegador que não seja o Chrome.
• Isso é naturalmente irrelevante para o Telegram Desktop ou qualquer outro aplicativo nosso (mobile, portátil, etc).
• Nós já corrigimos esse problema imediatamente, é claro.

Como você pode ver, o ataque contra o Telegram requer condições muito especiais e muito incomuns para conseguir sucesso contra um usuário.

Então, porque temos essa reportagem distorcida?

Muitos portais de notícias reportaram, erradamente, que o Telegram sofreu o mesmo problema do WhatsApp. A razão de fazer isso é porque a Check Point escolheu escrever a reportagem dessa maneira para maximizar seu impacto nas mídias. Isso não é usual para uma empresa de segurança procurando reconhecimento. Continua surpreendendo que eles não ficaram satisfeitos com apenas mostrar o problema do WhatsApp, incluíram afirmações erradas sobre o Telegram. Por exemplo:

Uma vez que o usuário clica para abrir o arquivo malicioso, isso permite a quem está fazendo o ataque acessar os dados locais do WhatsApp e Telegram, onde os dados do usuário estão armazenados. A partir desse ponto, quem está atacando pode ganhar acesso ilimitado ao dados e conta do usuário.

A parte sobre a afirmação em relação ao Telegram não é verdadeira. Infelizmente, isso faz parte de uma série de artigos escritos por jornalistas mal informados ao redor do mundo. Se você ver uma manchete dessa "Como uma foto pode hackear sua conta WhatsApp e Telegram", fique a vontade para falar ao autor que ele foi enganado por uma empresa de segurança irresponsável.

A propósito, como eu sei se isso foi usado na minha conta antes da correção?

Se você é um usuário do WhatsApp, você não tem como saber. Perdão. Isso é, se você tem certeza que todas as fotos que você abriu via WhatsApp Web foram de fontes legítimas.

Se você é usuário do Telegram e usa o cliente Web ao invés do aplicativo para Desktop, tente lembrar se você fez esses passos descritos acima. Se, como todos nós, você nunca fez nada disso, isso não interessa a você.